Cross Site Scripting en servidores BEA WebLogic

Se ha detectado una vulnerabilidad en WebLogic que posibilita a un
atacante la construcción de ataques de Cross Site Scripting.

WebLogic es un servidor de aplicaciones de la empresa BEA Systems,
especialmente indicado para entornos dirigidos al comercio
electrónico. Lo que añade a esta vulnerabilidad un peligro adicional.

El problema reside en que determinados parámetros no se verifican
adecuadamente antes de ser devueltos al usuario. Esto puede ser
explotado para realizar los ataques de Cross Site Scripting.

Múltiples scripts de ejemplos se ven afectados por este
problema, las aplicaciones a medida también pueden estar afectadas.

Las versiones afectadas por este problema son:

BEA Systems Liquid Data 1.1
BEA Systems WebLogic Express 5.1
BEA Systems WebLogic Express 6.1
BEA Systems WebLogic Express 7.0
BEA Systems WebLogic Integration 7.0
BEA Systems WebLogic Server 5.1
BEA Systems WebLogic Server 6.1
BEA Systems WebLogic Server 7.0

Los parches para evitar este problema se encuentran disponible en
la dirección.

WebLogic Server 7.0 SP2
ftp://ftpna.beasys.com/pub/releases/security/CR105443_70sp2-v2.jar

WebLogic Integration 7.0 SP2:
ftp://ftpna.beasys.com/pub/releases/security/tempPatchCR103371_WLI70SP2.zip

WebLogic Server 6.1 SP3:
ftp://ftpna.beasys.com/pub/releases/security/CR105443_610sp3.jar

WebLogic Integration 2.1:
ftp://ftpna.beasys.com/pub/releases/security/tempPatchCR105536_WLI21SP2.zip

WebLogic Server 6.1 SP2:
ftp://ftpna.beasys.com/pub/releases/security/CR105443_610sp2.jar

WebLogic Integration 2.1:
ftp://ftpna.beasys.com/pub/releases/security/tempPatchCR105536_WLI21SP2.zip

Parche para WebLogic Server 7.0 SP2:
ftp://ftpna.beasys.com/pub/releases/security/CR105443_70sp2-v2.jar

WebLogic Server 7.0
actualizar Service Pack 3 y aplicar el parche:
ftp://ftpna.beasys.com/pub/releases/security/CR105443_70sp3.jar

WebLogic Server 6.1
Actualizar a Service Pack 5 y aplicar el parche:
ftp://ftpna.beasys.com/pub/releases/security/CR105443_610sp5.jar

WebLogic Server 5.1
Actualizar a Service Pack 13 y aplicar el parche:
ftp://ftpna.beasys.com/pub/releases/security/CR105007_510sp13.jar

Antonio Román
roman@hispasec.com

Más información:

SECURITY ADVISORY (BEA03-36.00)
http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/SA_BEA03_36.00.jsp

BEA Systems, Inc:
http://www.bea.com

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional	11 months	La cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy	11 months	La cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.

Cross Site Scripting en servidores BEA WebLogic

Publicaciones relacionadas

Una al Día

Aviso Legal

Compártelo:

Publicaciones relacionadas

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Footer

Una al Día

Aviso Legal